Gmail nem fogad leveleket a Microsoftnál lévő emailfiókjainkból

Web, mail, IRC, IM, hálózatok

Sziasztok!

Múlt hét kedd óta a gmail visszadob minden a domainunk alatti emailcímről érkező levelet. 

Ez a hiba minden gmail-ra küldött levél esetében, mind visszapattan ezzel:

550 5.7.350 Remote server returned message detected as spam -> 550 5.7.1 [2a01:111:f403:c200::5 19] Gmail has detected that this message;is likely suspicious due to the very low reputation of the sending;domain. To best protect our users from spam, the message has been;blocked. For more information, go to; https://support.google.com/mail/answer/188131 956f58d0204a3-64916ff561asi6457565d50.69 - gsmtp 

A szolgáltató a Microsoft és a domain NS-ek is náluk vannak.

11.-én vagy 12.-én valami történhetett, mert onnantól jött elő a probléma,

Már próbáltam bejelenteni a google felé, nézem a postmaster tools-t, de érdemi válktozás nem történt. A levelek 100%-a Delivery Errors, Suspected spam-re hivatkozva.

Minden gépet végig néztem, hátha feltörtek valamit de semmi. A jelszavakat azért biztonságképpen megváltoztattam.

Tudtok valami tanácsot adni, hogy oldjuk meg ezt a problémát?

  • 1878 megtekintés

( kassaiviktor | 2026. 01. 19., h – 10:47 )

spf/dkim/dmarc jól van beállítva?

dmarc report mit mond? nem akart már is arról a domainről küldeni?

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

én úgy láttam, eddig p=reject volt beállítva. egyébként, ha nem lett volna beállítva, nem is kaphattál volna 10/10-et. rua is be volt állítva. de ha nem nézed meg a riportot, akkor itt most akkor megállunk :)

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

hát nem egy okos döntés nem valós emailt beállítani dmarc reportnak. akkor inkább nem kell rua mező. ha fogadtad volna a reportot, akkor gmailtől minden nap kaptál volna az előző napra vonatkózóan egy xml-t aggregált adatokról, hányan küldtek, vagy próbáltak küldeni a te domainedről levelet, milyen ipről, és milyen sikerességgel.

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( Imo | 2026. 01. 19., h – 10:58 )

Ha tényleg minden teszten átmegy a domain (de azért csinálj egy konkrét küldős tesztet is: https://www.mail-tester.com/ ) akkor csak az marad, hogy egy rakás spam-et kapott a google erről a domain-ről és blacklistre került maga a domain, azt csak náluk tudod levetetni.

( Droptable v | 2026. 01. 19., h – 11:13 )

Vannak ott fura dolgok, mert olyan domain-alól is SPAM-be rak a gmail leveleket, amik a Goggle alá vannak berakva. Magyarul a a@domainx.hu -ról a x@gmail.com-ra küldök levelet, úgy hogy a domainx.hu is gmail alatt megy. Évek óta változatlan módon működik, de nemrég elkezdte spam-be rakni azt amit eddig nem. És hiába állítod be neki, hogy nem spam, azért legközelebb is oda teszi. Az userek meg szívják a véremet miatta.

http://kovisoft.hu

( csilee | 2026. 01. 20., k – 10:19 )

Még mindig nem mennek a gmail irányába leveleim.

Az elöbb egy teszten ezt írta ki: DMARC Alignment:    szszo.onmicrosoft.com != gotthardotthon.hu

Ez lehet gond?

DKIM rekordok a tényleges tartományban két CNAME bejegyzés onmicrosoft-os céllal, a DNS ellenőrző a tenant admin felületen megmondja a jó értékeket, és ellenőrzi is, hogy elérhetőek-e. Amíg nem jó ez a két CNAME rekord, addig elvileg be sem lehet kapcsolni a DKIM aláírást az adott tartományra.

Szerintem a gotthardotthon.hu tartományban nincsenek benne az MS-es DKIM szelktorok.

Ha lekérem, hogy selector1._domainkey.gotthardotthon.hu (vagy selector2...), akkor NXDOMAIN a válasz. Ha jól értettem, és ez a valós tartománynév.

A tenant admin felületen, ahol a DNS bejegyzéseket tudod ellenőrizetni, kiírja, hogy milyen CNAME rekordok kellenének a DKIM használatához. Például ilyen rekord:

selector1_.domainkey.gotthardotthon.hu. CNAME selector1-gotthardotthon-hu.gotthardotthontenant.onmicrosoft.com.
selector2_.domainkey.gotthardotthon.hu. CNAME selector2-gotthardotthon-hu.gotthardotthontenant.onmicrosoft.com.

Az onmicrosoft.com előtti "gotthardotthontenant" helyett természetesen a valódi tenant név áll, de azt nem tudom kitalálni a tartománynévből (nyilván).

A tenant DNS felületét a https://admin.microsoft.com/#/Domains/Details/gotthardotthon.hu oldalon éred el (persze megfelelő belépés után), és azon a lapon belül a "DNS-rekordok" részt válaszd, azon belül a "DNS kezelése" gombot, és abban a varázslóban fogja megmutatni a rekordokat, amiket neked be kell írni a DNS-be.
A varázsló második lapján letekersz alulra, ott kinyitod a "Speciális beállítások" részt, kipipálod a "DomainKey Identified Mail (DKIM)" pontot, és akkor mutatja, mit kell beírni a DNS zónába az adott tenant és domain esetén.
Ha beírtad a zónába ezeket, akkor mehet a Tovább, és ellenőrzi is, hogy kiolvashatók-e a rekordok.

Amikor ez a felület azt mondja, jó a zóna tartalma, akkor lehet a DKIM-et bekapcsolni a https://securoty.microsoft.com felületen, bal oldalt a "E-mail és együttműködés"->Házirendek és szabályok->Veszélyforrásokra vonatkozó házirendek->E-mail hitelesítési beállítások->DKIM felületen. Ameddig a zónában nem jó a két DKIM-re vonatkozó rekord, addig a tartomány neve mellett szürke a kapcsoló, nem engedi aktiválni. Ha jók a rekordok, akkor be tudod kapcsolni a DKIM aláírást, onnantól jól kell működnie ennek a résznek.

Ezeket nem tudom piszkálni mert a Microsoft kezeli őket.

Ez biztos? Az, hogy a Microsoftnál van a DNS zóna hostolva (gondolom Azure-ben), nem azt jelenti, hogy nem lehet hozzányúlni, sőt, ez eléggé meglepő lenne.

 

Egyébként gyors ránézés után a selector1 az be van állítva, a selector2 meg nincs.

https://mxtoolbox.com/SuperTool.aspx?action=dkim%3agotthardotthon.hu%3aselector1&run=toolpage#

https://mxtoolbox.com/SuperTool.aspx?action=dkim%3agotthardotthon.hu%3aselector2&run=toolpage#

A vonatkozó dokumentáció alapján mindkettőt be kéne állítani: https://learn.microsoft.com/en-us/defender-office-365/email-authenticat…

Az becsapós, hogy az  MS rendszere nem generálja le mind a két kulcsot, csak az egyiket (random, melyiket), és csak az ütemezett, első kulcs-cserénél készíti el a másik, addig hiányzót. De mind a kettőt beteteti előre az ügyfél DNS zónájába, és ha csak simán lekéred, akkor a hiányzó tényleges rekord miatt hibárat fut a lekérés. Azt írja az MS kisokos, hogy ha ez zavar, csinálj egy soron kívüli kulcs-cserét, és akkor legenerálja a másikat is. De e nélkül is működik minden, mert csak az egyik szelektort használja. Aztán mikor magától vált, akkor elkészíti a hiányzót (nem olvastam utána milyen időközönként vált, nem igazán érdekel).

Azt kell ügyfél oldalon vizsgálni, hogy a CNAME rekordok ott vannak-e, nem azt, hogy a CNAME által mutatott mindkét TXT elérhető-e (első beállításkor).

Itt is ez a helyzet. A két CNAME ott van, a második mögötti bejegyzés viszont még hiányzik. Ha teszt levelet küld a tartomány, abban a selector1 lesz használva DKIM aláírásra.

~$ host -t CNAME selector1._domainkey.gotthardotthon.hu
selector1._domainkey.gotthardotthon.hu is an alias for selector1-gotthardotthon-hu._domainkey.szszo.onmicrosoft.com.
~$ host selector1._domainkey.gotthardotthon.hu
selector1._domainkey.gotthardotthon.hu is an alias for selector1-gotthardotthon-hu._domainkey.szszo.onmicrosoft.com.
host -t TXT selector1._domainkey.gotthardotthon.hu
selector1._domainkey.gotthardotthon.hu is an alias for selector1-gotthardotthon-hu._domainkey.szszo.onmicrosoft.com.
selector1-gotthardotthon-hu._domainkey.szszo.onmicrosoft.com descriptive text "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDEstPjeaWlzG3WiGyt8MzO37M8GmR7gDW/RGbI+5exi+qZJVDrW74yF48YtgxIBifXMEhqXMnJwMJGMVyglMK3ni5g4Y8DVQLlkRXo5dWH4kEmY293AJ5bG4wLcLO+rDDb5PwMV7gPWCwYFjx/6THdnlShcInMctA1KxRgTSECFQIDAQAB;"

~$ host -t CNAME selector2._domainkey.gotthardotthon.hu
selector2._domainkey.gotthardotthon.hu is an alias for selector2-gotthardotthon-hu._domainkey.szszo.onmicrosoft.com.
~$ host selector2._domainkey.gotthardotthon.hu
Host selector2._domainkey.gotthardotthon.hu not found: 3(NXDOMAIN)
~$ host -t TXT selector2._domainkey.gotthardotthon.hu
Host selector2._domainkey.gotthardotthon.hu not found: 3(NXDOMAIN)

( csilee | 2026. 01. 20., k – 21:18 )

Közben kutakodva kiderült, hogy 11.-én 2000 és hétfőn 2300 levél ment ki valahonnan (még nem találom hol lehet ezt megnézni). Lehet a google ezen rágott be.

Közben kutakodva kiderült, hogy 11.-én 2000 és hétfőn 2300 levél ment ki valahonnan

Ebből kiindulva leginkább, hogy vársz türelemmel. két-három hét és rendbe jön. ;) 

Amúgy a https://postmaster.google.com lehet a barátod, főleg az "User-reported spam rate" része.

Sehogy. Nincs rá lehetőség. Teljesen automata a Gmail rendszere.

Rendbe kell tenni a küldő oldalt, meg kell szűntetni a spam forrást, és néhány nap, max. 1-2 hét alatt vissza fog engedni. Ez nem egyszeri teljes körű, hanem progresszív feloldás. Elsőre csak néhány levelet vesz át, és ahogy látja, hogy nem jön spam, úgy enged egyre több felé küldött levelet be, majd egyszer csak átveszi az összes felé küldöttet ismét. Aránylag gyorsan helyre szokott állni a probléma javítása után, néhány napon belül nekünk eddig jó lett minden így járt ügyfél Gmail felé történő küldése.

Azt, hogy melyik fiókból történhetett, meg tudod nézni az Exchange admin felület "message tracking" eszközével, és az Identitás (Entra ID) admin felületen a "kockázatos" szóra rákeresve a felső sávban lesz olyan opció, hogy kockázatos felhasználók, kockázatos belépések, stb. Ott tudod megnézni pl. azt, hogy nem-magyar címről kinek a fiókjával léptek be (ez nem országot figyel egyébként, hanem azt vizsgálja, hogy van-e olyan belépési hely, ami nem jellemző az adott felhasználó rutinjára).

Egyébként az M365 Exchange admin felületen tudod korlátozni a tartományon kívülre küldhető levelek volumenét per tenant és per user szinten az ilyen bulk spam elkerülésére. Meg lehet találni azt az számot, ami még nem szól bele a napi legitim levélküldésbe, de az ilyen dömpinget megfogja. A default-ok alapjában véve túl magasak (10k levél/nap/user bőven spam listára kerülős mennyiség).

Nagyon köszönöm, hogy segítesz!  

Az exchange message trackban látszik hogy 11.-én 18:48-18:50 között küldtek az egyik fiókból 4053 üzenetet egy japán IPv6-os címről, valószínüleg egy PDF melléklettel. Az entrában azt írja a kockázatos felhasználókra, hogy nincs jogosultságom ilyen lekérdezéshez, a kockázatos bejelentkezésekre csak 7 napra visszamenőleg tudok lekérdezéseket indítani, itt nem ír semmit.

Ha látod a problémás leveleket a tracker felületen, akkor azt is tudod melyik fiók volt az "elkövető". Azon kell jelszót cserélni (ha még nem történt meg), és átnézni, hogyan, hol kerülhetett ki a fiók jelszava (legvalószínűbb, hogy ugyan azt használta, amit máshol, amit már elloptak régebben és most itt működött).

Na meg mehet a 2FA kötelező bekapcsolása a fióknak (meg mindenkinek egyúttal...). Mondjuk érdekes, mert mostanra kifejezetten erőlködni kell M365-ben, hogy ne legyen 2FA valakinél, de mindig akad olyan kitartó ember, aki megkeresi, hogyan kerülheti el a jobb védelmet...

A legnagyobb gond különben nem is a spam-elés egy ilyen ellopott MS fiókkal, hanem az, hogy hozzá is férhettek ahhoz, ami a fiókból elérhető a felhasználónak... Érdekes, hogy ezen senki nem aggódik ilyen történés után, pedig nem a gmail-ba küldési stop vagy a spam listára kerülés a legnagyobb probléma az esettel, az csak bosszantó részlet...

( csilee | 2026. 01. 21., sze – 14:04 )

a google postmaster toolsban a gotthardotthon.hu domain melett azt írja egy fekete felkiáltójellel "Not enough data" és a "Report delivery issue" alatt "You can't submit a report / You can submit a report when your domain meets these requirements".

Ez azért lehet mert nemrég (pár napja) adtam hozzá ezt a domaint, vagy van még valami probléma?

A többi már régesrégen hozzáadott domainom szép zöld pipás és engedné a küldést is, kivéve 1 subdomaint ami piros felkiáltójeles, de azt nem használjuk levelezésre, nem is emlékszem miért van itt.

Igen , azért. De legközelebb látni fogod, ha titkárnő Gizi megpróbál belépni a levelezésébe egy kamu oldalon, vagyis az eredményét :) Amúgy rossz hír ha elmúlik ez az esemény mármint , hogy a Google át sem veszi, jön a következő, hogy ugyan átveszi de szépen kézbesíti a spam mappába. De idővel ez is elmúlik. ;) 

Azóta ha Gizi nem mutat ssl client certet nem levelezik (így nyugodtan megadhatja a mindenhol is használt jelszavát ;))

( csilee | 2026. 02. 04., sze – 10:34 )

Sajnos még mindig nem tudunk a google felé levelet küldeni. 

a DMARC reportok szépen jönnek, és abban rendre minden pass. Elvileg mindenben jók vagyunk, de 23 napja a google haragszik ránk és nem fogad tőlünk levelet.

Valamit kihagytam, vagy kell még valamit tenni, hogy a google bizzon bennünk?

( Dwokfur v | 2026. 02. 04., sze – 11:25 )

Nálam panaszkodott a gmail DMARC-ra pár héttel ezelőtt. Ekkor leellenőriztem, hogy minden rendben (SPF, DKIM, DMARC, stb.) és nem tudtam mit csinálni a problémával, mert élő személyhez nem jutottam el, hogy mégis mi bajuk van vele. Azóta viszont mégiscsak fogadja a leveleket.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."